記事更新日: 2021/04/27
マイナンバーが導入され、従業員を雇用する民間事業者にとっても、個人情報を含むマイナンバーの取り扱いは非常に重要な管理業務の一つになってきました。
そうは言っても、中小企業をはじめとした多くの企業では、具体的にどのように従業員のマイナンバーを管理すればいいのか、何に気を付ければいいのかわからず悩んでいる方も多いかと思います。
ガイドラインで重要なのは、保管や安全管理措置を含めた4箇条です。
今回は、マイナンバーガイドラインの概要から関連する法律まで紹介していきます。
このページの目次
マイナンバーのガイドラインとは「特定個人情報保護委員会」が、中小企業などの事業者向けにまとめたマイナンバーの取り扱いに関する方針のことを言います。
正式名称は「特定個人情報の適正な取扱いに関するガイドライン」ですが「マイナンバーガイドライン」と省略して記載していきます。
マイナンバーガイドラインは、中小企業をはじめとした民間事業者が適切に従業員のマイナンバー情報に関する取り扱いを理解・運用できるようにすることを目的としています。
具体的には、マイナンバー4箇条を意識した上で、マイナンバー情報を管理・運用していくことが求められます。
マイナンバー法(番号法)に定められている保護措置での利用範囲が個人情報保護法と異なっているため、実務を担当する現場の混乱を防ぐ観点からも、ガイドラインは必要とされています。
参考:マイナンバーガイドライン
マイナンバー情報を適切に管理・運用するために知っておくべき「マイナンバー4箇条」について解説していきます。
マイナンバー4箇条の1つ目は「取得・利用・提供のルール」です。
マイナンバーの取り扱い範囲は、番号法によって限定的に定められていることを示すルールで、「取得」と「利用・提供」の2つの場面にわけて定められています。
マイナンバーの「取得」とは、事業者がどのようなタイミングで従業員からマイナンバー情報を得られるかの事です。
社会保障や税金に関連する手続き関係書類を作成する必要がある場合に限って、従業員に対してマイナンバー情報の提供を求めることが出来ると定められています。
「利用・提供」では、どのような場合に従業員から得たマイナンバー情報を使えるかについて規定されています。
事業者は、利用・提供で定められた行政機関や健康保険組合などに提出する場合に限り、従業員から取得したマイナンバー情報を利用、提供することが出来るとしています。
そのためマイナンバー法に記載されている場合を除き、利用や提供することは出来ないという意味です。
このように、従業員からマイナンバー情報を取得できる場合と、取得した情報を利用、提供できる場合は限定されているため、事業者の方は注意するようにしましょう。
マイナンバー4箇条の2つ目は「保管・廃棄のルール」です。
保管・廃棄のルールとは、従業員から取得した情報は必要なときだけ保管しておき、不要となった時点で廃棄することが必要であることを求めたルールです。
取得・利用・提供のルール同様に、社会保障や税金関連の資料作成目的で必要となり取得したマイナンバー情報は、各種法令の保管義務や保管期間に応じて、保有し続けることになります。
例えば、従業員の源泉徴収手続きを行う場合には、雇用関係が継続し続けていれば翌年度以降も必要な作業となるため、マイナンバー情報を継続的に保管出来るとされています。
一方で、各種法令で定められている保管期間が経過した場合には、事業者が得たマイナンバー情報はできるだけ速やかに廃棄または削除することになります。
マイナンバー情報を必要とする業務を外注している場合には、委託先が適切に削除または廃棄したことを別途証明書の形で確認する必要もあるので注意しておきましょう。
マイナンバー4箇条の3つ目は「委託のルール」です。
委託のルールとは、マイナンバー情報を必要とする業務を外部委託する場合には、委託先を適切に管理し、再委託する場合には委託元の同意許諾を必要とすることを求めたルールです。
例えば、当社がA社に業務を委託し、A社がB社に当該業務を再委託する場合を考えてみます。この場合、当社はA社に対する適切な監督義務だけでなく、再委託先であるB社に対しても間接的な監督義務を有することになります。
また、A社がB社に再委託する時点において、当社側の許諾が必要となる点にも注意です。
そのため、委託時においては一般的に以下の点につき把握しておく必要があります。
従業員などのマイナンバー情報を含む業務を委託するケースでは、上記の点に気を付けた上で運用・管理が必要です。
マイナンバー4箇条の4つ目は「安全管理措置のルール」です。
安全管理措置のルールとは、マイナンバーを含む情報を取り扱う場合には、しっかりとした安全管理措置が必要であることを求めたルールのことです。
安全管理措置は、会社の規模に応じて適切な管理体制を構築することを求めている規定とも言えます。
「特定個人情報等の適正な取扱いについて社内で基本方針を決めてください」という内容が書かれています。
「特定個人情報等の具体的な取扱いルール等を文面で作成してください」という内容が書かれています。
1. 組織体制の整備
2. 取扱規程等に基づく運用
3. 取扱状況を確認する手段の整備
4. 情報漏えい等事案に対応する体制の整備
5. 取扱状況の把握及び安全管理措置の見直し
「事業所は1~5を社内で組織的に行う体制を整備してください」という内容が書かれています。
「マイナンバー取扱担当者の監督者を決め、マイナンバー取扱担当者の育成・教育を行ってください」という内容が書かれています。
1. 特定個人情報等を取り扱う区域の管理
2. 機器及び電子媒体等の盗難等の防止
3. 電子媒体等を持ち出す場合の漏えい等の防止
4. 個人番号の削除
5. 機器及び電子媒体等の廃棄
「事業所は1~5のルールを守りマイナンバーの管理と廃棄を徹底してください」という内容が書かれています。
1. アクセス制御
2. アクセス者の識別と認証
3. 外部からの不正アクセス等の防止
4. 情報漏えい等の防止
「事業所は物理的な情報漏洩の対策1~4を徹底してください」という内容が書かれています。
会社の規模によって、ガイドライン4箇条の具体的な対応策は変わります。
ガイドラインに適用した管理方法として、マイナンバー管理システムやマイナンバー台帳での管理等があります。
そもそも、なぜガイドラインが必要となるかについて確認していきます。
マイナンバーの取り扱いについて適切な理解がある事業者であれば、ガイドラインはなくても問題ありません。
しかし、実際はマイナンバーの取り扱いを理解している事業者はかなり少ないと思われます。
マイナンバー制度の導入に伴い、従業員を雇用している事業者の場合、主に「社会保障や税金に関連する手続き書類を作成する場面」で従業員のマイナンバー情報を取り扱うこととなります。
事業者は、従業員のマイナンバー情報をもとに作成した書類を各行政機関や健康保険組合などに提出することになります。
マイナンバー情報はマイナンバー法のルールに基づいて適切に運用される義務があります。
最後に、マイナンバー関連の法律について触れておきます。
最低限、知っておくべき関連法律としては、「マイナンバー法(番号法)」と「個人情報保護法」の2つです。
番号法とも言われるマイナンバー法とは、マイナンバーの導入に伴い特定個人情報を取り扱うすべての事業者が遵守しなければならない法律です。
マイナンバーの導入により「個人情報」と「特定個人情報」の2つの用語が使われるようになったので、簡単に違いをまとめると以下のようになります。
個人情報:氏名、住所、生年月日などの個人を特定できる情報
特定個人情報:マイナンバーが含まれている個人情報
マイナンバー法は、特定個人情報を取り扱うすべての事業が遵守の対象となります。
以下のようなケースではこれまで紹介してきたマイナンバー4箇条をはじめとしたルールを適切に理解しておく必要があります。
マイナンバー法では下記2点を理解しましょう。
1:利用目的の通知を本人にする必要があること、
2:本人の同意があったとしても一定の場合をのぞいて第三者への提供はできないこと
もう一つの知っておくべき法律「個人情報保護法」についても確認しておきます。
個人情報保護法は、マイナンバー導入前から存在する法律です。
従来は特定の条件を満たした事業者が遵守の対象となっていましたが、その後の改正によって今では(マイナンバー法と同じく)すべての事業者が遵守する必要があります。
マイナンバー法と個人情報保護法は密接な関係があるため似ていますが、下記の違いがあります。
1:利用目的を公表している場合には、本人への通知は必要がないこと
2:本人の同意があれば、第三者への提供が認められていること
特定個人情報を取り扱うケースが増えてきているので、マイナンバー法を遵守しつつ、マイナンバー法で規定されていない点は個人情報保護法を適用するようにした方が良いです。
今回は、マイナンバーのガイドラインを中心に概要から関連法律まで紹介してきました。
マイナンバーガイドラインでは、細かい説明もありますが、基本的な考え方と「マイナンバー4箇条」を最低限理解してみてください。
その上で、自社で取り扱っている特定個人情報の量に応じて、適切な管理体制を構築するようにしてみるのが最適な行動になるはずです。
マイナンバーガイドラインに沿った管理方法としてマイナンバー管理システムも有用です。
導入を検討してみましょう。
画像出典元:Shutterstock
この記事を書いた人
TAK
